Transparenzerklärung für Kunden
Grundinformationen
Betroffene
Diese Datenschutzerklärung richtet sich an alle Personen, die als potenzielle, aktive und ehemalige Kunden einzuordnen sind. Alle Personenbezeichnungen beziehen sich auf alle Geschlechter und die damit verbundenen Sprachformen, insbesondere divers, weiblich, männlich. Jede Personenbezeichnung ist mit dem Zusatz „(m/w/d)“ zu verstehen.
Verantwortlicher
Verantwortlicher für die hier beschriebene Verarbeitung ist: the key – academy GmbH, Beuthstraße 8, 10117 Berlin, T: +49 (30) 83 20 29 88 (Wochentags 10:00-18:00 Uhr), E: [email protected], vertreten durch den Geschäftsführer Philipp Scholze. Der Datenschutzbeauftragte ist wie folgt zu erreichen: [email protected].
Rechte
(1) Die Betroffenen haben mit Blick auf die zu ihrer Person gespeicherten Daten folgende Rechte: Das Recht auf Auskunft, das Recht auf Berichtigung unrichtiger Daten, das Recht auf Löschung von Daten, für die es keinen Aufbewahrungsgrund mehr gibt, auf Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit. Ferner haben sie das Recht, sich bei der für den Verantwortlichen zuständigen Aufsichtsbehörde zu beschweren.
(2) Soweit die Verarbeitung auf einer Einwilligung der Betroffenen beruht, können die Betroffenen ihre Einwilligung jederzeit und mit Wirkung für die Zukunft widerrufen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher).
(3) Soweit die Verarbeitung auf der Erfüllung eines berechtigten Interesses, mithin auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO beruht, können die Betroffenen der Verarbeitung jederzeit widersprechen; etwa durch formlose Nachricht an einen der o.g. Kontaktkanäle (Verantwortlicher). Falls der Widerspruch begründet ist, wird die Verarbeitung beendet. Sofern das berechtigte Interesse im Direktmarketing liegt; ist der Widerspruch stets begründet.
Übermittlung in Länder außerhalb der Europäischen Union
(1) Sofern personenbezogene Daten an Stellen außerhalb der Europäischen Union übermittelt werden, muss der Verantwortliche ergänzende Schutzgarantien nach Artikel 44 ff. DSGVO mitteilen.
(2) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf einen sog. Angemessenheitsbeschluss beruft, bedeutet dies, dass die empfangende Stelle in einem Land, Gebiet oder spezifischen Sektor sitzt, zu dem die EU-Kommission beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet. Die Garantie folgt dann aus Artikel 45 DSGVO.
(3) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf die sog. EU-Standardvertragsklauseln beruft, bedeutet dies, dass die empfangende Stelle sich zur Achtung der EU-Datenschutzgrundsätze vertraglich verpflichtet hat und dies auf Grundlage der sog. EU-Standardvertragsklauseln, Die Garantie folgt dann aus Artikel 45 DSGVO.
(4) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung auf sog. verbindliche, interne Datenschutzvorschriften beruft, bedeutet dies, dass die zuständige Aufsichtsbehörde die Übermittlung genehmigt hat. Die Garantie folgt dann aus Artikel 47 DSGVO.
(5) Sofern sich der Verantwortliche in der nachfolgenden Datenschutzerklärung darauf beruft, dass die Betroffenen in die Übermittlung in ein Land außerhalb der Europäischen Union ausdrücklich eingewilligt haben, bedeutet dies, dass sie in Kenntnis aller damit verbundenen Risiken der Übermittlung dennoch zustimmen. Die Garantie folgt dann aus Artikel 49 Absatz 1 lit. a DSGVO. In diesem Zusammenhang weisen wir auf folgende Risiken hin: In den USA, der Republik Indien und der Russischen Föderation ist kein mit der DSGVO vergleichbares Datenschutzrecht kodifiziert. Die dortigen staatlichen Stellen haben sich einen intensiven Datenzugriff gebilligt, wobei der in der EU geregelte Verhältnismäßigkeitsgrundsatz nicht angewendet ist. Ferner besteht in diesen Ländern kein effektiver Rechtsschutz für EU-Bürger.
(6) Die vorstehenden Hinweise werden nur vorsorglich erteilt. Sie gelten nur, wenn und soweit in der nachfolgenden Datenschutzerklärung hierauf Bezug genommen wird.
Weitere Hinweise
(1) Eine automatisierte Entscheidungsfindung, einschl. Profiling, findet nicht statt.
(2) Eine rechtliche Verpflichtung zur Verarbeitung besteht nur, sofern nachfolgend auf Artikel 6 Absatz 1 Satz 1 lit. c DSGVO Bezug genommen wird.
Verarbeitung der Daten in der Anbahnungsphase.
(1) Der Verantwortliche nimmt die Daten aus dem Erstkontakt (Registrierungs- und Bestellprozess). Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Danach ist die Verarbeitung auch ohne Einwilligung zulässig, da sie der Anbahnung, Durchführung und/oder Beendigung eines Vertragsverhältnisses dient. In diesem Fall werden die Daten gelöscht, sobald der jeweilige Zweck erfüllt ist, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen.
(2) Zusätzlich zum Erstkontakt finden in der Anbahnungsphase Analysen zur Interaktion der Betroffenen mit der Internetseite bzw. Webapplikation, die Gegenstand der Leistung des Verantwortlichen ist, statt. Dies jedoch nur, wenn die Betroffenen vorher einwilligen, sodass Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage ist.
(3) Im Rahmen dieser Phase der Verarbeitung setzt der Verantwortliche folgende Drittanbieter ein, die er gemäß Artikel 28 DSGVO beauftragt hat:
- Amazon Web Services EMEA SARL (Luxembourg), wobei eine Datenübermittlung zur Amazon Webservices, Inc. (USA) nicht ausgeschlossen werden kann. Dieser Dienstleister ist mit Cloud- und Hosting-Dienstleistungen betraut. Der Beauftragung steht nicht entgegen, dass ein Zusammenwirken mit der Amazon Webservices, Inc. (USA) nicht ausgeschlossen werden kann, denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland), wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist. Dieser Dienstleister ist mit den folgenden Dienstleistungen betraut: Speicherung/Cloud (Google Workspace) sowie Analysedienste (Google Analytics und Google Tagmanager). Der Beauftragung steht nicht entgegen, dass ein Zusammenwirken mit der Google LLC (USA) nicht ausgeschlossen werden kann, denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet bzw. in den Fällen von Analyse-Diensten findet die Verarbeitung nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (USA). Dieser Dienstleister ist mit der Verwaltung von Kundendaten (CRM-System) sowie der Unterstützung bei Terminbuchungen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Creditreform Berlin Brandenburg Wolfram GmbH & Co. KG, Karl-Heinrich-Ulrichs-Straße 1, 10787 Berlin (BRD). Dieser Dienstleister unterstützt den Verantwortlichen bei der Bewertung der Bonität und beim Debitorenmanagement.
- Danubio Forderungsmanagement GmbH & Co. KG, Bleichstraße 30, 89077 Ulm. Dieser Dienstleister unterstützt den Verantwortlichen bei der Bewertung der Bonität und beim Debitorenmanagement.
- HostPress GmbH (BRD). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Cloudflare, Inc. (USA). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut; dies mit einem sog. Content-Delivery-Network. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Netlify, Inc. (USA). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut; dies im Bereich Frontend-Hosting. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Salesforce.com, Inc (USA). Dieser Dienstleister ist mit dem Hosting der Internetseite bzw. Web-Applikation, doe Gegenstand der Leistung des Verantwortlichen ist, betraut; dies im Bereich Backend-Hosting mit dem Tool Heruko. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, da eine Garantie nach Artikel 47 DSGVO besteht.
- MongoDB, Inc. (USA). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut: Cloud-Dienstleistungen, Transaktions-, Such-, Analyse- und Mobilanwendungen. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Segment.io, Inc. (USA). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, mit Analysen des Nutzerverhaltens der Betroffenen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- Adjust GmbH (BRD). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, mit Analysen des Nutzerverhaltens der Betroffenen betraut.
Verarbeitung der Daten in der Phase der aktiven Vertragsbeziehung.
(1) Der Verantwortliche verarbeitet alle Daten, die zur Durchführung des Vertragsverhältnisses, insbesondere zur Erfüllung seiner vertraglichen Pflichten erforderlich sind. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. b DSGVO. Danach ist die Verarbeitung auch ohne Einwilligung zulässig, da sie der Anbahnung, Durchführung und/oder Beendigung eines Vertragsverhältnisses dient. In diesem Fall werden die Daten gelöscht, sobald der jeweilige Zweck erfüllt ist, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen.
(2) Ferner speichert der Verantwortliche alle steuer- und handelsrechtlichen Informationen (das sind hier die Rechnungs- und Lieferungsdaten), die aus dem Verhalten der Betroffenen hervorgehen. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB. Danach ist die Verarbeitung auch ohne Ihre Einwilligung zulässig, da der Verantwortliche in diesem Fall seine rechtliche Verpflichtung erfüllt, die Daten gemäß steuer- und handelsrechtlichen Vorschriften aufzubewahren. Hiernach besteht die Pflicht,
- Daten über die Betroffenen, die sich aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Einzelabschlüssen nach § 325 Abs. 2a HGB, Konzernabschlüssen, Lageberichten und Konzernlageberichten, Eröffnungsbilanzen, Buchungsbelegen, Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union, Handelsbüchern sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen ergeben, für zehn Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB),
- Daten über die Betroffenen, die sich aus empfangenen Handels- oder Geschäftsbriefen, aus der Wiedergabe der empfangenen Handels- oder Geschäftsbriefe sowie aus sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind, für sechs Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB).
Nach Ablauf der Fristen werden sämtliche Daten gelöscht, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen. Daten, die auf Grundlage einer Einwilligung verarbeitet werden, löscht der Verantwortliche, sobald die Einwilligung widerrufen wird (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 lit. e DSGVO).
(3) Der Verantwortliche wird den Namen, die E-Mail-Adresse sowie auftragsbezogene Kommunikationsinhalte sowie Informationen zum Lese- und Klickverhalten dazu verwenden, die Betroffenen werblich anzusprechen. Die werbliche Ansprache per E-Mail. Inhaltlich umfasst die werbliche Ansprache jede Äußerung des Verantwortlichen, bei der Ausübung seines konkreten Gewerbes mit dem Ziel, den Absatz seiner Waren oder die Erbringung seiner Dienstleistungen zu fördern. Dazu zählen insbesondere, aber nicht abschließend regelmäßige und unregelmäßige Newsletter, Einladungen, Kundenzufriedenheitsbefragungen und Angebote für konkrete Produkte und Leistungen. Ferner umfasst die werbliche Ansprache, dass der Verantwortliche die Betroffenen per E-Mail, auf die kostenfreien und kostenpflichtigen Produkte und Dienstleistungen aufmerksam machen darf, die seine Kooperationspartner anbieten. Hierbei werden die Daten nicht an diese Kooperationspartner übermittelt. Vielmehr empfiehlt der Verantwortliche den Betroffenen lediglich deren Produkte, wobei er diese Nachrichten selbst editieren kann. Soweit die Betroffenen im Verlauf dieser Phase eine entsprechende Einwilligung erteilt haben, ist diese dann die Rechtsgrundlage (Artikel 6 Absatz 1 Satz 1 lit. a DSGVO). In allen Fällen ist Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage. Danach darf der Verantwortliche die Daten der Betroffenen zur werblichen Ansprache auch ohne Ihre Einwilligung verarbeiten. Sein berechtigtes Interesse folgt daraus, dass zwischen ihm und den Betroffenen eine Vertragsbeziehung besteht und daraus, dass er die Betroffenen vorab darüber informiert hat und daraus, dass die Betroffenen jederzeit und ohne Begründung der Verarbeitung zu werblichen Zwecken widersprechen können. In diesem Zusammenhang werden die Betroffenen darauf hingewiesen, dass sie der Verwendung jederzeit widersprechen können, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.
(4) In einigen Fällen macht der Verantwortliche die Betroffenen möglicherweise darauf aufmerksam, dass ein Gespräch per Videokonferenz stattfinden kann. In diesem Fall eröffnet er den Betroffenen aber stets auch eine Alternative dazu (z.B. Telefon, Präsenzgespräch vor Ort). In diesem Fall wird um Einwilligung in die Ton- und Bildübertragung per Videokonferenztool erfragt. Rechtsgrundlage für die Verarbeitung ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m.
- Artikel 7 Absatz 1 DSGVO (für die Durchführung der Videokonferenz),
- Artikel 5 Absatz 2 DSGVO i.V.m. Artikel 9 Absatz 2 lit. a DSGVO (für die ggf. stattfindende Verarbeitung von Gesundheitsdaten, z.B. Brillenträger*in),
Hiernach ist die Verarbeitung auch ohne Einwilligung zulässig, da der Verantwortliche in diesem Fall seine rechtliche Verpflichtung erfüllt, eine erteilte Einwilligung zu dokumentieren. Die Daten werden gelöscht, sobald die zivilrechtliche Verjährungsfrist mit Blick auf die Ansprüche der Betroffenen im Zusammenhang mit der Verarbeitung, in die sie eingewilligt haben, abläuft. Das ist i.d.R. der Fall am 31. Dezember des dritten Kalenderjahres, das auf das Kalenderjahr folgt, in dem die Betroffenen ihre Einwilligung widerrufen haben, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen.
(5) Wenn die Betroffenen sich für ein Gespräch per Videokonferenz entscheiden, werden sie dazu eingeladen. Der Verantwortliche verarbeitet dabei alle Daten, die für die Durchführung der Einladung zwingend verarbeitet werden müssen. Dann wird das Gespräch durchgeführt, wobei die Betroffenen während des gesamten Gespräches die Möglichkeit haben, ihre Kamera zu aktivieren oder zu deaktivieren. Je nach Ihrer Entscheidung werden entweder nur ihre Tondaten oder auch ihre Bilddaten verarbeitet. Aufzeichnungen finden nicht statt. Der Verarbeitung steht auch nicht das Verbot nach Artikel 9 Absatz 1 DSGVO entgegen, denn die Einwilligung der Betroffenen umfasst ggf. auch die Verarbeitung dieser Daten (vgl. Artikel 9 Absatz 2 lit. a DSGVO). Rechtsgrundlage ist demnach allein die Einwilligung der Betroffenen (Artikel 6 Absatz 1 Satz 1 lit. a DSGVO).
(6) Die Absätze 4 und 5 gelten entsprechend, wenn der Verantwortliche die Betroffenen um Anfertigung eines Testimonials bittet. Ergänzend kommt hinzu, dass diese Testimonials in sozialen Medien sowie auf der Internetseite veröffentlicht oder auf Veranstaltungen abgespielt werden.
(7) Zusätzlich zur Durchführung des Vertrages finden in dieser Phase Analysen zur Interaktion der Betroffenen mit der Internetseite bzw. Webapplikation, die Gegenstand der Leistung des Verantwortlichen ist, statt. Dies jedoch nur, wenn die Betroffenen vorher einwilligen, sodass Artikel 6 Absatz 1 Satz 1 lit. a DSGVO die Rechtsgrundlage ist.
(8) Im Rahmen dieser Phase der Verarbeitung setzt der Verantwortliche folgende Drittanbieter ein, die er gemäß Artikel 28 DSGVO beauftragt hat:
- Amazon Web Services EMEA SARL (Luxembourg), wobei eine Datenübermittlung zur Amazon Webservices, Inc. (USA) nicht ausgeschlossen werden kann. Dieser Dienstleister ist mit Cloud- und Hosting-Dienstleistungen betraut. Der Beauftragung steht nicht entgegen, dass ein Zusammenwirken mit der Amazon Webservices, Inc. (USA) nicht ausgeschlossen werden kann, denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland), wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist. Dieser Dienstleister ist mit den folgenden Dienstleistungen betraut: Speicherung/Cloud (Google Workspace) sowie Analysedienste (Google Analytics und Google Tagmanager). Der Beauftragung steht nicht entgegen, dass ein Zusammenwirken mit der Google LLC (USA) nicht ausgeschlossen werden kann, denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet bzw. in den Fällen von Analyse-Diensten findet die Verarbeitung nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (USA). Dieser Dienstleister ist mit der Verwaltung von Kundendaten (CRM-System) sowie der Unterstützung bei Terminbuchungen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Zoom Video Communications, Inc. (USA). Dieser Dienstleister ist mit der Bereitstellung einer Videokonferenzplattform betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- Es ist eine externe Steuerberatungskanzlei mit Buchhaltungsleistungen betraut. Soweit Daten bei ihm verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Haufe-Lexware GmbH & Co. KG. Dieser Dienstleister stellt Steuerberatungs- und Lohnbuchhaltungsleistungen zur Verfügung.
- Asana Inc. Dieser Dienstleister ist mit der Bereitstellung eines Projektmanagement-Tools betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Slack Technologies Limited, 4th Floor, One Park Place, Hatch Street Upper, Dublin 2 (Irland), wobei der Datenverkehr mit der Slack Technologies Inc, 500 Howard Street San Francisco, CA 94105 (USA) nicht auszuschließen ist. Dieser Dienstleister ist mit der Bereitstellung eines Projektmanagement-Tools betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Slack Technologies Inc. hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- PayPal S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 (Großherzogtum Luxemburg). Der Zahlungs-Dienstleister verarbeitet die Daten als eigenständiger, unabhängiger Verantwortlicher. Daher ist die Vereinbarung einer Auftragsverarbeitung nicht erforderlich. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- SOFORT GmbH (BRD). Der Zahlungs-Dienstleister verarbeitet die Daten als eigenständiger, unabhängiger Verantwortlicher. Daher ist die Vereinbarung einer Auftragsverarbeitung nicht erforderlich. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Creditreform Berlin Brandenburg Wolfram GmbH & Co. KG, Karl-Heinrich-Ulrichs-Straße 1, 10787 Berlin (BRD). Dieser Dienstleister unterstützt den Verantwortlichen bei der Bewertung der Bonität. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Danubio Forderungsmanagement GmbH & Co. KG, Bleichstraße 30, 89077 Ulm. Dieser Dienstleister unterstützt den Verantwortlichen bei der Bewertung der Bonität und beim Debitorenmanagement. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Meta Plattforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 (Irland), wobei der Datenverkehr mit der Meta Plattforms Inc., 1601 S. California Avenue, Palo Alto, CA 94304 (USA) nicht auszuschließen ist. Dieser Dienstleister ist ein soziales Medium („Facebook“), in dem Testimonials der Betroffenen veröffentlicht werden. Der Übermittlung steht nicht entgegen, dass die Daten in die USA, ggf. an die Meta Plattforms Inc., übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2 (Irland), wobei der Datenverkehr mit der LinkedIn Corporation, 2029 Stierlin Court, Mountain View, California 94043 (USA) nicht auszuschließen ist. Dieser Dienstleister ist ein soziales Medium („LinkedIn“), in dem Testimonials der Betroffenen veröffentlicht werden. Der Übermittlung steht nicht entgegen, dass die Daten in die USA, ggf. an die LinkedIn Corporation, übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- The Rocket Science Group LLC (USA). Dieser Dienstleister ist mit der Durchführung einer automatisierten E-Mail-Kommunikation betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- HostPress GmbH (BRD). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut.
- Cloudflare, Inc. (USA). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut; dies mit einem sog. Content-Delivery-Network. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Netlify, Inc. (USA). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut; dies im Bereich Frontend-Hosting. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Salesforce.com, Inc (USA). Dieser Dienstleister ist mit dem Hosting der Internetseite bzw. Web-Applikation, doe Gegenstand der Leistung des Verantwortlichen ist, betraut; dies im Bereich Backend-Hosting mit dem Tool Heruko. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, da eine Garantie nach Artikel 47 DSGVO besteht.
- MongoDB, Inc. (USA). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut: Cloud-Dienstleistungen, Transaktions-, Such-, Analyse- und Mobilanwendungen. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Segment.io, Inc. (USA). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, mit Analysen des Nutzerverhaltens der Betroffenen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- Adjust GmbH (BRD). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, mit Analysen des Nutzerverhaltens der Betroffenen betraut.
- Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Campus, Dublin 24 (Irland), wobei der Datenverkehr mit der Adobe Inc., San Francisco, 345 Park Avenue, San Jose, California 95110 (USA) nicht ausgeschlossen werden kann. Dieser Dienstleister ist mit der Entgegennahme und Speicherung von Signaturen im Rahmen von Willenserklärungen der Betroffenen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
Verarbeitung der Daten nach Ende des Vertragsverhältnisses.
(1) Nach Ende des Vertragsverhältnisses bewahrt der Verantwortliche die Daten auf. Rechtsgrundlage ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB. Danach ist die Verarbeitung auch ohne Einwilligung zulässig, da der Verantwortliche in diesem Fall seine rechtliche Verpflichtung erfüllt, die Daten gemäß gesetzlichen Vorschriften aufzubewahren. Hiernach besteht die Pflicht
- Daten über die Betroffenen, die sich aus Büchern und Aufzeichnungen, Inventaren, Jahresabschlüssen, Einzelabschlüssen nach § 325 Abs. 2a HGB, Konzernabschlüssen, Lageberichten und Konzernlageberichten, Eröffnungsbilanzen, Buchungsbelegen, Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union, Handelsbüchern sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen ergeben, für zehn Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB),
- Daten über die Betroffenen, die sich aus empfangenen Handels- oder Geschäftsbriefen, aus der Wiedergabe der empfangenen Handels- oder Geschäftsbriefe sowie aus sonstigen Unterlagen, die für die Besteuerung von Bedeutung sind, für sechs Jahre aufzubewahren, wobei die Aufbewahrungsfrist i.d.R. mit dem Schluss des Kalenderjahrs beginnt, in dem das maßgebliche Dokument entstanden ist (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. § 147 AO bzw. i.V.m. § 257 HGB).
Nach Ablauf der Fristen werden sämtliche Daten gelöscht, es sei denn, dem stehen andere Rechtsgrundlagen und Aufbewahrungsgründe entgegen. Daten, die auf Grundlage einer Einwilligung verarbeitet werden, löscht der Verantwortliche, sobald die Einwilligung widerrufen wird (Artikel 6 Absatz 1 Satz 1 lit. c DSGVO i.V.m. Artikel 5 Absatz 1 lit. e DSGVO).
(2) Im Rahmen dieser Phase der Verarbeitung setzt der Verantwortliche folgende Drittanbieter ein, die er gemäß Artikel 28 DSGVO beauftragt hat:
- Amazon Web Services EMEA SARL (Luxembourg), wobei eine Datenübermittlung zur Amazon Webservices, Inc. (USA) nicht ausgeschlossen werden kann. Dieser Dienstleister ist mit Cloud- und Hosting-Dienstleistungen betraut. Der Beauftragung steht nicht entgegen, dass ein Zusammenwirken mit der Amazon Webservices, Inc. (USA) nicht ausgeschlossen werden kann, denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Google Ireland Limited, Gordon House, Barrow Street, Dublin 4 (Irland), wobei der Datenverkehr mit der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 (USA) nicht auszuschließen ist. Dieser Dienstleister ist mit den folgenden Dienstleistungen betraut: Speicherung/Cloud (Google Workspace) sowie Analysedienste (Google Analytics und Google Tagmanager). Der Beauftragung steht nicht entgegen, dass ein Zusammenwirken mit der Google LLC (USA) nicht ausgeschlossen werden kann, denn sie hat sich gemäß den EU-Standardvertragsklauseln verpflichtet bzw. in den Fällen von Analyse-Diensten findet die Verarbeitung nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141 (USA). Dieser Dienstleister ist mit der Verwaltung von Kundendaten (CRM-System) sowie der Unterstützung bei Terminbuchungen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Zoom Video Communications, Inc. (USA). Dieser Dienstleister ist mit der Bereitstellung einer Videokonferenzplattform betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- Es ist eine externe Steuerberatungskanzlei mit Buchhaltungsleistungen betraut. Soweit Daten bei ihm verarbeitet werden, stellt dies keine Auftragsverarbeitung (vgl. DSK-Kurzpapier 13), sondern eine Datenübermittlung dar, die ihrerseits durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt ist. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Haufe-Lexware GmbH & Co. KG. Dieser Dienstleister stellt Steuerberatungs- und Lohnbuchhaltungsleistungen zur Verfügung.
- Asana Inc. Dieser Dienstleister ist mit der Bereitstellung eines Projektmanagement-Tools betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Slack Technologies Limited, 4th Floor, One Park Place, Hatch Street Upper, Dublin 2 (Irland), wobei der Datenverkehr mit der Slack Technologies Inc, 500 Howard Street San Francisco, CA 94105 (USA) nicht auszuschließen ist. Dieser Dienstleister ist mit der Bereitstellung eines Projektmanagement-Tools betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Slack Technologies Inc. hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- PayPal S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 (Großherzogtum Luxemburg). Der Zahlungs-Dienstleister verarbeitet die Daten als eigenständiger, unabhängiger Verantwortlicher. Daher ist die Vereinbarung einer Auftragsverarbeitung nicht erforderlich. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- SOFORT GmbH (BRD). Der Zahlungs-Dienstleister verarbeitet die Daten als eigenständiger, unabhängiger Verantwortlicher. Daher ist die Vereinbarung einer Auftragsverarbeitung nicht erforderlich. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Creditreform Berlin Brandenburg Wolfram GmbH & Co. KG, Karl-Heinrich-Ulrichs-Straße 1, 10787 Berlin (BRD). Dieser Dienstleister unterstützt den Verantwortlichen bei der Bewertung der Bonität. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Danubio Forderungsmanagement GmbH & Co. KG, Bleichstraße 30, 89077 Ulm. Dieser Dienstleister unterstützt den Verantwortlichen bei der Bewertung der Bonität und beim Debitorenmanagement. Es handelt sich mithin um einen Fall des sonstigen Outsourcings.
- Meta Plattforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2 (Irland), wobei der Datenverkehr mit der Meta Plattforms Inc., 1601 S. California Avenue, Palo Alto, CA 94304 (USA) nicht auszuschließen ist. Dieser Dienstleister ist ein soziales Medium („Facebook“), in dem Testimonials der Betroffenen veröffentlicht werden. Der Übermittlung steht nicht entgegen, dass die Daten in die USA, ggf. an die Meta Plattforms Inc., übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2 (Irland), wobei der Datenverkehr mit der LinkedIn Corporation, 2029 Stierlin Court, Mountain View, California 94043 (USA) nicht auszuschließen ist. Dieser Dienstleister ist ein soziales Medium („LinkedIn“), in dem Testimonials der Betroffenen veröffentlicht werden. Der Übermittlung steht nicht entgegen, dass die Daten in die USA, ggf. an die LinkedIn Corporation, übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- The Rocket Science Group LLC (USA). Dieser Dienstleister ist mit der Durchführung einer automatisierten E-Mail-Kommunikation betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- HostPress GmbH (BRD). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut.
- Cloudflare, Inc. (USA). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut; dies mit einem sog. Content-Delivery-Network. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Netlify, Inc. (USA). Dieser Dienstleister ist dem Hosting der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut; dies im Bereich Frontend-Hosting. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Salesforce.com, Inc (USA). Dieser Dienstleister ist mit dem Hosting der Internetseite bzw. Web-Applikation, doe Gegenstand der Leistung des Verantwortlichen ist, betraut; dies im Bereich Backend-Hosting mit dem Tool Heruko. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, da eine Garantie nach Artikel 47 DSGVO besteht.
- MongoDB, Inc. (USA). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, betraut: Cloud-Dienstleistungen, Transaktions-, Such-, Analyse- und Mobilanwendungen. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
- Segment.io, Inc. (USA). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, mit Analysen des Nutzerverhaltens der Betroffenen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn die Verarbeitung findet nur statt, wenn die Betroffenen dem US-Datentransfer ausdrücklich zugestimmt haben, vgl. Artikel 49 Absatz 1 lit. a DSGVO. Die Betroffenen werden dringend ersucht die Risikohinweise („Übermittlung in Länder außerhalb der Europäischen Union“, dort Absatz 5) zur Kenntnis, bevor sie einwilligen.
- Adjust GmbH (BRD). Dieser Dienstleister ist im Rahmen der Darstellung der Internetseite bzw. Web-Applikation, die Gegenstand der Leistung des Verantwortlichen ist, mit Analysen des Nutzerverhaltens der Betroffenen betraut.
- Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Campus, Dublin 24 (Irland), wobei der Datenverkehr mit der Adobe Inc., San Francisco, 345 Park Avenue, San Jose, California 95110 (USA) nicht ausgeschlossen werden kann. Dieser Dienstleister ist mit der Entgegennahme und Speicherung von Signaturen im Rahmen von Willenserklärungen der Betroffenen betraut. Der Beauftragung steht nicht entgegen, dass die Daten in die USA übermittelt werden, denn der Anbieter hat sich gemäß den EU-Standardvertragsklauseln verpflichtet.
Verarbeitung bei einer Unternehmensveräußerung im Wege der Abspaltung oder Verschmelzung.
(1) Es besteht die Möglichkeit, dass sich das Unternehmen des Verantwortlichen oder Teile davon gesellschaftsrechtlich verändern. Hierbei hat der Verantwortliche u.a. die Möglichkeit, durch die Veräußerung von Teilen des Unternehmens (Abspaltung) oder durch den Zusammenschluss mit anderen Unternehmen (Verschmelzung) sich zu reorganisieren. Bei einer Abspaltung bleibt er als Unternehmen bestehen, überträgt einen Teil seines Vermögens auf einen oder mehrere andere, bereits bestehende oder neue Rechtsträger. Bei einer Verschmelzung überträgt er sein gesamtes Unternehmen auf einen anderen, entweder schon bestehenden oder neu zu gründenden Rechtsträger.
(2) Unabhängig davon, welche Variante der gesellschaftsrechtlichen Veränderung der Verantwortliche wählt, besteht die Möglichkeit, dass die Daten, die er speichert, dabei an den jeweiligen neuen Rechtsträger mitübertragen werden, ggf. auch entgeltlich. Es besteht sogar die Möglichkeit, dass dies der Hauptgrund für die gesellschaftsrechtliche Veränderung und ein wesentlicher, preisbildender Faktor ist.
(3) Für die unter Absatz 2 beschriebene Übertragung der Daten ist die Einwilligung der Betroffenen jedoch nicht erforderlich. Denn auf diese Übertragung ist der datenschutzrechtliche Grundsatz, wonach jede Verarbeitung personenbezogener Daten, einer Erlaubnisgrundlage bedarf, nicht anwendbar. Denn dieser aus Artikel 5 Absatz 1 lit. a DSGVO herrührende Rechtsgrundsatz erfordert eine Verarbeitung der Daten. In Betracht kommt hier zwar eine Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung. Aber sowohl die Elemente „Übermittlung“, „Verbreitung“ als auch „Bereitstellung in anderer Form“ setzen voraus, dass die Daten vom Verantwortlichen an eine Stelle außerhalb des Verantwortlichen gelangen. Und im Fall der Abspaltung oder Verschmelzung wäre bzgl. der Daten der neue Rechtsträger kein Dritter i.S.v. Artikel 4 Ziffer 10 DSGVO.
Verarbeitung bei einer Unternehmensveräußerung im Wege des Asset-Deals.
(1) Es besteht die Möglichkeit, dass sich das Unternehmen des Verantwortlichen oder Teile davon gesellschaftsrechtlich verändern. Hierbei bestünde die Möglichkeit eines sog. Asset-Deals. Unter einem Asset Deal versteht man den Unternehmenserwerb durch Übertragung seiner jeweiligen Vermögensgüter, wenn also Unternehmen „gekauft“ werden.
(2) Sofern der Verantwortliche – im Zeitpunkt der Übertragung der Daten – den Betroffenen gegenüber noch vertraglichen Pflichten hat, die im Zusammenhang mit der Nutzung seiner Produkte und Dienstleistungen stehen, ist die mit dem Asset-Deal verbundene Verarbeitung der personenbezogenen Daten durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt. Nach dieser Vorschrift ist die darin liegende Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Hier besteht ein solches Verarbeitungsinteresse. Die Frage, ob ein solches Interesse vorliegt, ist am Verarbeitungszweck zu messen und hat einerseits rechtliche, wirtschaftliche und ideelle Interessen berücksichtigen und ist andererseits unter Berücksichtigung von (Unions-)Grundrechten weit auszulegen. Hier ist das Interesse, dass die Kunden des Verantwortlichen auch nach dem Asset-Deal weiterbedient werden, entscheidend. Dies entspricht auch dem Interesse der Betroffenen. Selbstverständlich können sie dieser Verarbeitung jederzeit widersprechen, dies durch formlose Nachricht an einen der o.g. Kontaktkanäle („Verantwortlicher“).
(3) Sofern der Verantwortliche – im Zeitpunkt der Übertragung der Daten – gegenüber den Betroffenen bereits alle vertraglichen Pflichten erfüllt hat, wird die Übertragung der Daten nur erfolgen, soweit es nachvertragliche Pflichten gibt oder es wahrscheinlich ist, dass die Betroffenen ggf. noch Nachfragen haben. Denn dann ist die mit dem Asset-Deal verbundene Verarbeitung Ihrer personenbezogenen Daten durch Artikel 6 Absatz 1 Satz 1 lit. f DSGVO gerechtfertigt. Das Interesse folgt hier daraus, dass in der möglicherweise anfallenden Erfüllung nachvertraglicher Pflichten und Nachfragen seitens der Betroffenen, ein Übertragungsinteresse besteht.
(4) Der Verantwortliche behält sich das Recht vor, ergänzend eine Einwilligung von den Betroffenen abzufragen, wenn andere Fälle der Datenübermittlung zwecks Durchführung einer gesellschaftsrechtlichen Reorganisation in Betracht kommen. Insoweit verarbeitet er die Kontaktdaten der Betroffenen, um sie um Ihre Einwilligung in die Übermittlung zu bitten. Rechtsgrundlage dieser Verarbeitung ist Artikel 6 Absatz 1 Satz 1 lit. c DSGVO. Nach dieser Vorschrift darf der Verantwortliche die Daten verarbeiten, wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der er unterliegt. Die rechtliche Verpflichtung folgt hier aus Artikel 7 Absatz 1 DSGVO bzw. Artikel 5 Absatz 1 DSGVO. Denn nach diesen Vorschriften ist der Verantwortlich rechtlich verpflichtet, die Einholung einer Einwilligung zu dokumentieren. Er speichert die Daten zum Status der Einwilligung, solange dies zu Nachweiszwecken erforderlich ist.